國家重點專項:信息安全認證如何煉成“金鐘罩”
作者:admin 發(fā)表時間:2016/9/2 13:49:48 點擊:2935
研究目的
黨中央、國務(wù)院高度重視信息安全認證認可體系建設(shè),早在2003年���,中辦發(fā)〔2003〕27號文件就提出“要推進認證認可工作���,規(guī)范和加強信息安全產(chǎn)品測評認證”,國認證聯(lián)〔2004〕57號文明確提出“建立既符合國家利益的需要又遵循國際通行規(guī)則的統(tǒng)一的國家信息安全產(chǎn)品認證認可體系”���,國發(fā)[2012]23號文要求“完善信息安全認證認可體系��,加強信息安全產(chǎn)品認證工作���,減少重復(fù)檢測和重復(fù)收費”,國發(fā)[2012]9號《質(zhì)量發(fā)展綱要(2011-2020年)》要求“完善信息安全認證認可體系���,加強信息安全認證認可制度和能力建設(shè)���,健全信息安全認證認可工作體系��,促進信息安全認證認可結(jié)果的社會采信”���。 近期��,中央領(lǐng)導(dǎo)對新形勢下信息安全認證認可工作提出更高要求��,2016年4月19日��,習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上做出重要指示“減少重復(fù)檢測認證���,施行優(yōu)質(zhì)優(yōu)價政府采購制度��,減輕企業(yè)負擔(dān)��,破除體制機制障礙”���。
要切實落實中央要求,完善信息安全認證認可體系��,就必須解決我國信息安全認證認可工作面臨的三個基本問題:
一是對某些關(guān)鍵產(chǎn)品和服務(wù)��,因缺少基于度量理論的評價指標(biāo)體系和標(biāo)準(zhǔn)���,或缺少檢測所需的技術(shù)和方法等造成的“評價不了”問題��;
二是因缺乏一致性溯源��,檢測結(jié)果不確定度未知等造成的“評價不準(zhǔn)”問題��;
三是因缺乏對關(guān)鍵產(chǎn)品和服務(wù)整體質(zhì)量風(fēng)險的監(jiān)測技術(shù)手段���,難以評估認證有效性造成的“評價效果不明”問題��。
研究目標(biāo)
從國內(nèi)外研究現(xiàn)狀看���,在信息安全評價體系方面,國際上通用評估準(zhǔn)則(CC)較成熟��,但PP標(biāo)準(zhǔn)不統(tǒng)一���,難以適應(yīng)新技術(shù)發(fā)展��,評價體系正面臨改革��。例如���,CC互認安排實施十余年,僅形成針對具體產(chǎn)品的保護輪廓(PP)一百余項��,近期推出的cPP僅4項��。國內(nèi)雖已建立起信息安全標(biāo)準(zhǔn)體系��,開展了信息安全認證工作���,但仍面臨國家標(biāo)準(zhǔn)缺失��、滯后��,評價指標(biāo)缺乏��,對某些關(guān)鍵產(chǎn)品測評深度不夠���,對大型軟件測評能力不足,對新興領(lǐng)域測評能力不具備等問題��。在信息安全檢測基準(zhǔn)方面:國外在在個別領(lǐng)域已開展初步研究��,例如��,網(wǎng)絡(luò)安全基準(zhǔn)檢測方面形成了RFC 2544��、RFC3511���、RFC2889等標(biāo)準(zhǔn)��,在一些性能基準(zhǔn)方面開展了研究���,但未形成普遍應(yīng)用技術(shù)���,在比對和檢測質(zhì)量控制方面仍然薄弱。國內(nèi)初步研制了信息安全產(chǎn)品檢測基準(zhǔn)���,積累了一定經(jīng)驗���,但在檢測基準(zhǔn)的系統(tǒng)性、全面性��、動態(tài)性方面存在不足��。在產(chǎn)品信息安全質(zhì)量風(fēng)險監(jiān)測方面��,研究還存在空白���,僅在相關(guān)方面具有一定基礎(chǔ)���,例如,已有可作為分析數(shù)據(jù)源的產(chǎn)品漏洞庫���,互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)系統(tǒng)等���。
針對造成上述問題的體系不健全、關(guān)鍵技術(shù)能力不足等發(fā)展瓶頸��,結(jié)合目前研究現(xiàn)狀��,本項目擬圍繞信息安全評價���、檢測基準(zhǔn)和質(zhì)量風(fēng)險監(jiān)測���,突破關(guān)鍵共性技術(shù),研制急需的標(biāo)準(zhǔn)���、樣機���、評估工具和系統(tǒng)平臺,在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域開展應(yīng)用���,提高評價有效性和一致性水平���,支撐國家信息安全產(chǎn)品認證制度實施和質(zhì)量監(jiān)管,提升信息安全認證認可體系在國家網(wǎng)絡(luò)安全保障中的基礎(chǔ)性支撐能力���。
研究內(nèi)容
研究信息安全認證認可理論和總體技術(shù)體系:信息安全認證認可理論���、模型��;涵蓋評價��、基準(zhǔn)��、監(jiān)測等體系的總體技術(shù)框架���;信息安全度量模型。
研究信息安全檢測基準(zhǔn)技術(shù)體系:關(guān)鍵信息安全指標(biāo)測量不確定度分析理論��,測量溯源方法和體系���;信息安全檢測基準(zhǔn)體系框架��,信息安全產(chǎn)品檢測基準(zhǔn)標(biāo)準(zhǔn)��、樣機和能力驗證物品��;重要產(chǎn)品安全評價基準(zhǔn)指標(biāo)體系及指標(biāo)庫系統(tǒng)���。
研究信息安全評價技術(shù)體系:適應(yīng)我國信息安全認證需求的IT產(chǎn)品安全通用評價技術(shù)���;針對關(guān)鍵信息基礎(chǔ)設(shè)施中智能卡和工控關(guān)鍵設(shè)備等重要產(chǎn)品的安全設(shè)計的形式化驗證、安全策略驗證及數(shù)據(jù)流分析��、隱通道分析等安全性評價關(guān)鍵���、難點技術(shù);新興領(lǐng)域重要IT產(chǎn)品���、系統(tǒng)和服務(wù)信息安全認證技術(shù)���。
研究信息安全質(zhì)量風(fēng)險監(jiān)測技術(shù)體系:基于互聯(lián)網(wǎng)的信息安全質(zhì)量風(fēng)險監(jiān)測模型、方法和體系���;信息安全質(zhì)量風(fēng)險信息獲取��、評估���、預(yù)警技術(shù)及相應(yīng)系統(tǒng)。
技術(shù)路線
擬按6階段展開研究任務(wù):分析上述三個問題及其原因��,確定研究研究對象及其技術(shù)難點���;研究國內(nèi)外相關(guān)理論���、方法��,為研究信息安全評價���、檢測基準(zhǔn)和質(zhì)量風(fēng)險監(jiān)測準(zhǔn)備理論基礎(chǔ);研究建立信息安全度量模型和質(zhì)量風(fēng)險監(jiān)測模型���,為提出信息安全認證認可技術(shù)框架提供支撐��;根據(jù)技術(shù)框架��,建立信息安全檢測基準(zhǔn)技術(shù)體系��、信息安全評價技術(shù)體系和信息安全質(zhì)量風(fēng)險監(jiān)測技術(shù)體系��;研制標(biāo)準(zhǔn)��、工具���、系統(tǒng)平臺,形成技術(shù)評價方案;在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域進行應(yīng)用和驗證��,修正研究結(jié)果��。
預(yù)期成果和效益
項目預(yù)期研究建立信息安全度量模型��、信息安全測量溯源體系���;研制重要的信息安全檢測基準(zhǔn)樣機和實驗室能力驗證物品��、信息安全檢測基準(zhǔn)指標(biāo)庫系統(tǒng)、信息安全質(zhì)量風(fēng)險監(jiān)測系統(tǒng)��,以及重要產(chǎn)品��、服務(wù)���、系統(tǒng)的信息安全檢測��、評估工具和配套技術(shù)規(guī)范���;編制信息安全質(zhì)量風(fēng)險評估指南、信息安全認證認可發(fā)展戰(zhàn)略報告��,以及信息技術(shù)安全性評價技術(shù)體系運行所需的支撐性技術(shù)文件等。
項目成果預(yù)期直接支撐國家信息安全產(chǎn)品認證制度實施���,并在關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系建設(shè)中發(fā)揮基礎(chǔ)性支撐作用���。
